殭屍網絡相信大家都略知一二,簡單來說就是通過大規模散播木馬程式,從而將受害人的電腦變成攻擊方,繼而再針對目標位置進行攻擊。以往這種方式一直活躍於傳統的電腦平台之上,然而傳統的電腦由於擁有統一性的平台,例如採用 Windows 或 Mas OS,所以資安廠商均可輕易針對統一的平台開發防禦方案,所以攻擊及入侵的難度較高!但這幾年愈來愈普及的物聯網 (IoT )設備卻由於欠缺統一的系統,因此資安廠商往往較難針對 IoT 平台開發專用的防禦方案,所以近年來駭客針對 IoT 的攻擊亦愈加頻繁。

殭屍網絡指令發送途徑

被感染的電腦其實只是安裝了一個可以接受遠端發出指令 (Command) 的裝置,而駭客通過建立 Command and Control (C2) 的方式向受感染的電腦發出指令,從而令受感染的電腦 (殭屍網絡) 執行駭客的指令並向特定目標發動攻擊。另一個方法是通過採用 P2P 的方式進行傳播,通過 P2P 的方式增加傳播的速度,從而令更加多的電腦被感染。然而 P2P 方式由於傳播上需要提供確切的地址,一般做法就是將這些包含在病毒之中,於是較容易便會被發現。

不過凡事總有例如,如果針對物聯網的攻擊的話,採用 P2P 的方式進行傳播便是有其可取之處,其中近期被發現的新型 Interplanetary Storm 變體便是一例。近日 Barracuda 發表的《焦點報告》,便就針對物聯網(IoT)裝置的新型Interplanetary Storm (IPStorm)變體發出警示。

操控IPStorm惡意軟件的網絡犯罪集團現已釋出新變體,除影響Windows和Linux系統設備外,現亦針對Mac和Android裝置。該惡意軟件會製造殭屍網絡,研究員估計現時全球大概有84個國家的13,500個系統設備已經遭到感染,而且數目正不斷增加。

同時調查亦發現,大部份遭到惡意軟件感染的系統設備位於亞洲: 

27% 的受感染系統設備在香港

17% 在南韓

15% 在台灣

8% 在俄羅斯和烏克蘭

6% 在巴西

5% 在美國和加拿大

3% 在中國

3% 在瑞典

其他國家佔 1% 或以下

研究顯示香港受感染的設備數目最多。事實上,殭屍網絡(殭屍電腦)一直是香港一個主要的網絡安全威脅。根據香港電腦保安事故協調中心的《香港保安觀察報告》(HKCERT)顯示,單在2020年第二季就有5,952宗殭屍網絡個案發生。

甚麼是 Interplanetary Storm?

Interplanetary Storm是一種新型變體,這種新型惡意軟件變體與另一種點對點(P2P)的惡意軟件FritzFrog相似,都是經由對SSH伺服器發動字典攻擊(Dictionary Attack)進入系統設備。它亦可以經由開放的Android Debug Bridge (Android 調試橋)伺服器取得進入途徑。這個惡意軟件會偵測受感染系統設備的中央處理器(CPU)結構和操作系統(OS),亦可在常見於路由器和物聯網裝置上運行的ARM架構(ARM-based) 電子設備。

這個惡意軟件被稱為Interplanetary Storm,是因為它使用InterPlanetary File System (IPFS) p2p network和隱含libp2p implementation,令受感染的節點直接或經由其他節點接力散播。

Interplanetary Storm 的第一個變體針對Windows 系統設備,於2019年5月被發現。2020年6月又發現了另一個可以攻擊Linux 設備的變體。至於今次這個變體,則由Barracuda研究員在8月底首次偵測到,主要目標為物聯網裝置,例如使用Android操作系統的電視和使用Linux的系統設備,包括設定不當的SSH服務路由器。HKCERT於2019年亦曾發出警告,指網絡攝影機為本港最被廣泛使用的物聯網裝置,但很多家用網絡攝影機卻缺乏安全的設定。

雖然這個惡意軟件所建立的殭屍網絡還沒有清晰的功能,但它為幕後操作者提供進入受感染系統設備的一道後門,令他們往後可進行加密挖礦、分布式拒絕服務攻擊(DDoS)或其他大規模的攻擊。 

IPStorm的新變體使用Go編寫,採用Go implementation of libp2p,並且與UPX包裝在一起。它使用SSH暴力攻擊(brute-force) 和開放的ADB端口進行傳播,將惡意軟件檔案感染網絡中其他節點。這個惡意軟件更具有反向Shell功能,以及可以運行Bash Shell。

研究人員發現一旦系統設備受到感染,該惡意軟件具有多項獨特功能使其可繼續存在,並提供保護,包括:

偵測誘捕系統 (Honeypot) : 這個惡意軟件會在預設Shell 提示符(PS1)中搜尋字符串“ svr04”,該字符串曾被Cowrie 誘捕系統使用。 進行自動更新:該軟件會對比正在運行的版本與最新的版本,並自動更新。使用Go守護程序包 (Go daemon package) 安裝服務(系統/系統v)以保持繼續存在。

它會消滅在系統設備中對自己構成威脅的其他程式,例如除錯器和其他競爭性惡意軟件。它會透過尋找命令搜索以下字串來達到目的:   

“/data/local/tmp”

“rig” 

“xig”

“debug”

“trinity”

“xchecker”

“zypinstall”

“startio”

“startapp”

“synctool”

“ioservice”

“start_”

“com.ufo.miner”

“com.google.android.nfcguard”

“com.example.test”

“com.example.test2”

“saoas”

“skhqwensw”

如何防禦這類攻擊

以下幾項措施可以防禦新型變體惡意軟件:

在所有裝置上正確設定SSH訪問權限,例如使用驗證碼代替密碼會更安全。當用戶使用密碼登入時,惡意軟件就可利用設定不當的部份進行攻擊。 這是路由器和物聯網裝置常見的問題,因此很容易成為該惡意軟件的目標。

使用雲端安全管理工具檢測SSH訪問權限,以防設定錯誤導致的災難性後果。如有需要,則提供額外的外層保障,與其將資源暴露在互聯網,不如部署啟用MFA的VPN連接,並按特定需要劃分網絡區隔,而非對IP網絡廣泛地授予訪問權限。


 物聯網 IoT 殭屍網絡大流行!全球超過 10000 系統受感染

 https://www.facebook.com/hkitblog